UAC-0247 威胁行为者针对乌克兰目标部署数据窃取恶意软件
乌克兰 CERT-UA 将新活动归因于威胁行为者 UAC-0247,该行为者使用网络钓鱼诱饵部署恶意软件,窃取政府和医疗系统上的 Chromium 浏览器和 WhatsApp 数据。
MITRE ATT&CK® TTPs (2)
Click any technique to view details on attack.mitre.org
执行摘要
乌克兰计算机紧急响应小组(CERT-UA)将一场新的、持续进行的恶意软件活动归因于被追踪为UAC-0247的威胁行为者。根据该机构的说法,该组织针对乌克兰政府机构和市政卫生保健机构(包括诊所和急救医院)发送钓鱼邮件,旨在部署窃取数据的恶意软件。主要目标是从基于Chromium的网络浏览器和WhatsApp桌面应用程序中窃取敏感信息。
技术分析
这场活动在2026年3月至4月间被观察到,开始于包含恶意Microsoft Office文档的钓鱼邮件。尽管在公开的CERT-UA报告中没有详细说明确切的初始感染向量,但类似组织的历史上的战术表明使用了宏加载文档或模板注入来执行恶意负载。最终阶段的恶意软件是一个数据窃取者,能够从Google Chrome、Microsoft Edge和Opera等基于Chromium的浏览器中提取凭据、Cookie、自动填充数据和浏览历史记录。它还针对WhatsApp桌面客户端的本地数据库,以窃取消息历史记录和联系人列表。恶意软件的命令和控制(C2)基础设施和特定的二进制名称在CERT-UA的初始咨询中没有公开披露,限制了对技术细节的独立验证。
入侵指标
目前没有识别出任何指标。CERT-UA通常会与可信合作伙伴共享具体的IOC,如文件哈希值、域名和IP地址,并通过其安全渠道而不是在公共公告中。在乌克兰或相关领域有业务的组织应直接咨询CERT-UA以获取可操作的指标。
战术、技术与程序
根据CERT-UA的披露,该活动采用了以下与MITRE ATT&CK框架一致的TTP:
- 初始访问(TA0001): 可能是带有恶意Office文档的鱼叉式钓鱼附件(T1566.001)。
- 执行(TA0002): 用户执行恶意文档,可能是通过脚本或利用应用程序。
- 持久性(TA0003): 公共摘要中未指定的技术。
- 收集(TA0009): 从本地系统(T1005)收集数据,针对浏览器和WhatsApp的特定应用程序数据存储。
- 外泄(TA0010): 可能使用命令和控制通道(TA0011)传输被盗数据。 由于缺乏详细的公开报告,尚不确定恶意软件是否采用了高级规避、权限提升或横向移动技术。
威胁行为者背景
UAC-0247是CERT-UA使用的威胁行为者名称。该报告中没有明确说明该组织的起源、隶属关系和动机。然而,目标模式——专注于乌克兰政府和关键民用基础设施如卫生保健——与历史上与俄罗斯对齐的高级持续性威胁(APT)组织的活动一致。收集凭据和通信数据的目标表明了情报收集或间谍活动,可能支持进一步的入侵或获得态势感知。目前尚不清楚UAC-0247是新识别的组织还是已知APT如Gamaredon、Shuckworm或UNC3810的子集。
缓解措施与建议
CERT-UA建议乌克兰组织,特别是政府和卫生保健部门,实施加强的安全措施。适用于这种威胁的一般缓解措施包括:
- 用户培训: 培训用户识别和报告鱼叉式钓鱼尝试,特别是带有附件的未经请求的电子邮件。
- 应用程序加固: 禁用来自互联网的Office宏,并使用Microsoft的攻击面减少规则来阻止Office进程创建子进程。
- 端点保护: 部署和维护能够检测凭据访问和数据外泄行为的端点检测和响应(EDR)解决方案。
- 浏览器和应用程序安全: 使用专用的、安全的配置文件进行敏感工作,启用浏览器安全功能,并考虑应用程序允许列表。
- 网络监控: 监控出站流量以查找连接到未知或可疑域名的情况,这可能表明C2通信或数据外泄。
- 事件响应: 准备事件响应计划,并与CERT-UA建立联系以获得支持和共享相关威胁数据。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
